I ricercatori della Unit 42 di Palo Alto Networks hanno affermato che lo scorso maggio il gruppo hacker Cozy Bear (conosciuto anche come APT29, Cloaked Ursa o Nobelium), sponsorizzato dallo stato russo, ha condiviso file infetti sfruttando Dropbox e lo spazio di archiviazione di Google Drive.
A essere prese di mira sono state due ambasciate straniere, una in Brasile e una in Portogallo.
Nonostante non sia chiaro se gli attacchi siano poi effettivamente riusciti, è evidente di come i servizi cloud stiano diventando target privilegiati da parte degli hacker russi e l’invasione dell’Ucraina sta creando sempre maggiori preoccupazioni sulla frequenza delle loro attività.
Indice degli argomenti
Dettagli del cyber spionaggio su Dropbox e Google Drive
La vicenda è iniziata con alcune e-mail di phishing inviate dagli hacker filorussi alle ambasciate: all’apparenza, le e- mail contenevano un documento riguardante l’agenda per un prossimo incontro con un ambasciatore straniero.
Una volta aperto il collegamento, gli utenti sarebbero stati reindirizzati a Dropbox o a Google Drive per scaricare i file sui propri dispositivi.
Le vittime che hanno aperto quel file hanno avviato un download sui loro dispositivi e ciò ha dato vita ad una backdoor sul sistema tramite la quale gli hacker potevano lanciare malware in qualsiasi momento.
Secondo un rapporto redatto a seguito della vicenda da due ricercatori di Palo Alto Networks, una volta condivise le informazioni sia con Google che con Dropbox, le due società avrebbero subito bloccato l’attività.
Il gruppo Cozy Bear sarebbe attivo con diverse campagne di phishing, prendendo di mira obiettivi prevalentemente diplomatici, come in quest’ultimo caso. Dall’inizio di maggio, in particolare, il gruppo hacker avrebbe accresciuto il proprio know-how con lo sviluppo di malware atti a utilizzare i popolari servizi di archiviazione online.
Sarebbe tuttavia la prima volta che il gruppo prende di mira gli strumenti Dropbox. Quella individuata dai ricercatori di Palo Alto costituisce quindi una nuova strategia di cyber spionaggio, che sfrutta per l’appunto i servizi Cloud per appropriarsi di dati sensibili di organismi diplomatici.
Le attività di cyberspionaggio e il ruolo delle gang russe
L’attività di spionaggio è una pratica molto nota: le attività volte a carpire i segreti, le intenzioni e le capacità di stati ostili e non è qualcosa che caratterizza l’attività statale sin dai primordi dell’età moderna.
Con l’avvento della tecnologia lo spionaggio si è notevolmente semplificato, pur acquisendo un grado di sofisticatezza maggiore. I russi, in particolare, condividono una tradizione pragmatica e consolidata in materia di spionaggio: una linea operativa volta da un lato ad acquisire informazioni private, tecniche e know-how e dall’altro a difendere le minacce provenienti dall’esterno.
Operazioni di cyberspionaggio come quella messa in atto dal gruppo Cozy Bear sono ormai piuttosto frequenti, soprattutto da parte di hacker russi. Il cyberspionaggio costituisce una minaccia concreta non solamente nei confronti dell’apparato statale, ma anche per le aziende pubbliche e private.
Questa pratica, che permette agli hacker di ottenere importanti informazioni riservate, consente altresì all’attaccante di risparmiare notevoli quantità di denaro. Le perdite economiche per chi subisce questi attacchi possono infatti essere notevoli: talvolta lo scopo è quello di ottenere un riscatto, accessi illegali ad home banking o cryptojacking.
Gli hacker sono sempre più interessati ai servizi Cloud, utilizzati per effettuare backup delle memorie dei dispositivi mobili: accedere ad una copia di backup di un dispositivo significa entrare in possesso di contatti, di informazioni aziendali, della posta privata, di fotografie e video e di altro materiale sensibile. Per non diventare un bersaglio e incrementare il proprio livello di sicurezza, i possessori dei dispositivi dovrebbero cambiare spesso la propria password cloud. Gli esperti, dunque, consigliano di utilizzare chiavi sicure, come quelle a due fattori, e differenti per i diversi accessi e/o servizi cloud utilizzati.
La tecnica del password cracking
Una delle principali minacce informatiche è proprio il password cracking: per accedere all’account di un utente, gli hacker spesso infettano i dispositivi, mobili e non, con software dannosi al fine di ottenere le credenziali dell’utente.
La forzatura illecita di una password può avvenire per mezzo di brute force attack o tramite dictionary attack. La prima tecnica, altresì definita “di sfondamento”, prova tutte le password possibili con l’ausilio di vari programmi, nel tentativo di trovare la combinazione corretta; la seconda, invece, utilizza liste di password tra le più frequenti e probabili e attraverso una tecnica (definita L33T) la quale rimpiazza alcune lettere con dei caratteri simili per forma, ma senza una relazione diretta. Quest’ultima risulta essere più performante, in quanto garantisce possibilità maggiori di indovinare la password nel più breve tempo possibile.
Nonostante i dati vengano criptati in un database Cloud, alcuni sviluppatori di dispositivi mobili commettono errori nella fase di implementazione della protezione. In questi casi è relativamente facile per gli hacker ottenere una chiave di crittografia e recuperare i dati; tuttavia, anche quando non è possibile decodificare i dati, ci sono sempre altri modi: ad esempio, bloccando il dispositivo, come se fosse stato perso dal proprietario e in seguito ricattare il proprietario stesso.
Attacco alle password: tecniche di cracking e consigli per metterle al sicuro
Secondo una ricerca realizzata dagli esperti di Positive Technologies, il problema dell’utilizzo di password deboli è diffuso sia tra gli utenti privati che pubblici. Il 53% degli attacchi, che ha consentito ad hacker di accedere a risorse interne, è stato proprio compiuto utilizzando dictionary password. Tutti questi sistemi vedevano utenti privilegiati con password relativamente di debole struttura. Il 44% delle imprese utilizzava invece dictionary password per accedere ad applicazioni web pubbliche.
La vulnerabilità più comune nelle reti interne si è rivelata essere quella dell’utilizzo di password deboli (il 100%). Inoltre, la maggior parte dei sistemi ha rivelato di avere password deboli per gli account utente privilegiati. Tutti i sistemi hanno dimostrato di avere difetti nel protocollo che reindirizza e dirotta il traffico di rete. Attualmente, protezioni insufficienti degli account privilegiati e difetti nelle protezioni antivirus sono ancora largamente diffusi nelle reti interne delle imprese: tali vulnerabilità sono state rilevate infatti nel 91% dei sistemi.
CloudMensis: la minaccia per gli utenti Mac
Un altro esempio di minaccia per i servizi Cloud è rappresentato da CloudMensis, che prende di mira gli utenti Mac per monitorare e rubare dati riservati, sfruttando i servizi di cloud storage come canale di controllo ed esfiltrazione delle informazioni.
Non è dunque, una novità che vengano utilizzati malware su sistemi di cloud pubblici come Dropbox, Google Drive, One Drive, Mega e pCloud per scaricare le componenti malevole necessarie per infettare i dispositivi.
Tuttavia, si rileva come tale attività stia diventando sempre più privilegiata rispetto ad altri metodi di cyberspionaggio, soprattutto in contesti di guerra e da parte di gruppi APT affiliati alla Russia.
